WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 10.09.2020

עיקרי הדברים

  1. עליה חדה בתקיפות כופר - צרפת, יפן וניו זילנד מתריעות מפני עליה חדה בתקיפות מסוג Emotet; מערך הסייבר מתריע על קמפיין תקיפה. 

  2. "We are outnumbered": מחסור במומחי סייבר בארה"ב נוכח גל האיומים בתקופת הקורונה.

  3. היזהרו מחיקויים: נחשפו דומיינים המתחזים ל-Facebook, Apple, Amazon ו-Netflix.

  4. בעקבות פס״ד ״שרמס 2״ - הרגולטור האירופי מנסה ״לעשות סדר״ ולסייע לארגונים

  5. אנו ממליצים לעדכן בהקדם את המוצרים הבאים:

מיקרוסופט:  Edge, Windows, Explorer, SQL Server, JET, Office, Dynamics, Visual Studio, Exchange, ASP.NET, OneDrive
תוכנת Jabber של סיסקו
 Google Chrome
אפליקציית WhatsApp
Adobe  InDesign, FrameMaker :Adobeו-Experience Manager
מוצרי Intel AMT ו-Intel ISM.

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני התוכנה של Microsoft לחודש ספטמבר פותרים 129 חולשות
חולשה קריטית בתוכנת Jabber מאפשרת הרצת קוד מרחוק על מחשבי משתמשים אחרים ברשת
עדכוני אבטחה ל-Google Chrome
WhatsApp חושפת שש חולשות
Adobe מפרסמת עדכוני אבטחה למוצריה
Intel מפרסמת תשעה עדכוני אבטחה בפלטפורמת הניהול מרחוק

התקפות ואיומים

נחשפו דומיינים המתחזים ל-Facebook, Apple, Amazon ו-Netflix
צרפת, יפן וניו זילנד מתריעות מפני עליה חדה בתקיפות באמצעות הנוזקה Emotet
דליפת מידע בשירות צ'אט וטלפון חושפת שיחות, הודעות ואנשי קשר של מיליוני אסירים
תקיפת סייבר של הפדרציה היהודית של וושינגטון הובילה לגניבת 7.5 מיליון דולר
לקוחות חנויות מקוונות שבבעלות Warner Music נפלו קורבן למתקפת Web skimming

עליה במתקפות הכופר

ה-FBI פרסם אזהרה שנייה בנוגע לכופרת ProLock
כנופיית הסייבר Revil משביתה את אחד משלושת הבנקים הגדולים בצ׳ילה באמצעות כופרה
כופרת NetWalker תוקפת את ממשלת ארגנטינה ותחנת מפעל כוח פקיסטני
מתקפות כופרה נגד בית ספר בקונטיקט וארגון ללא מטרות רווח

סייבר בישראל

״גבולות נסגרים: גם למידע שלך״ - Webinar של Konfidas ו-ISACA
ארבעה עצורים בחשד להפעלת תשתית פישינג המתחזה לשירות PayPal
זוהה קמפיין תקיפה המפיץ אימייל זדוני תוך ניצול חברות ישראליות שהותקפו לצורך התפשטותו

סייבר בעולם

פלטפורמה חדשה בפיתוח MIT תבחן את מצב האבטחה של ארגונים
צפי להתגברות איום הסייבר הרוסי על בחירות 2020 בארה"ב
"We are Outnumbered": מחסור במומחי הסייבר בארה"ב בתקופת הקורונה

סייבר ופרטיות - רגולציה ותקינה

בעקבות פס״ד ״שרמס 2״: הרגולטור האירופי מנסה ״לעשות סדר״ ולסייע לארגונים לפעול בהתאם לפסיקה
מיזם סיני חדש מתעתד לקבוע כללים גלובליים חדשים לאבטחת מידע
בהמשך לפס״ד ״שרמס 2״: גם שווייץ מבטלת את הסדר ה-Privacy Shield
דוח חדש של מרכז ״בלפר״: ישראל במקום ה-11 בעולם ב-National Cyber Power Index 2020
מסמך חדש של ה-NIST בנושא ניהול מכשירי IoT פורסם להערות הציבור

כנסים

הציטוט השבועי

״החורף מגיע, ומתקפות הסייבר על ישראל צפויות להתעצם בשנה הקרובה. זה יגיע להיקפים עצומים, וזה רק מתעצם מאז פרצה מגיפת הקורונה, כי כולם עובדים מהבית באמצעות פלטפורמות דיגיטליות״

יגאל אונא, ראש מערך הסייבר הלאומי
בראיון לישראל היום 10.9.2020

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

חולשות חדשות

עדכוני התוכנה של Microsoft לחודש ספטמבר פותרים 129 חולשות

החולשות פורסמו ב-8 בספטמבר במסגרת העדכון החודשי; 23 מהן ברמת חומרה קריטית, 105 ברמת חומרה חשובה ועוד חולשה אחת ברמת חומרה נמוכה. עדכוני האבטחה רלוונטיים למוצרים הבאים: Edge, Windows, Explorer, SQL Server, JET, Office, Dynamics, Visual Studio, Exchange, ASP.NET, OneDrive. כמה מהחולשות הקריטיות שפורסמו זוהו על ידי צוות המחקר של Cisco Talos, אחת מהן (CVE-2020-1115 ,CVSS 8.8) אותרה ב-Common Log File System, ומאפשרת לתוקף להשיג הרשאות גבוהות ממחשב הקורבן ולשבש קבצי תיעוד (Logs).
אנו ממליצים לעדכן בהקדם את תוכנות Microsoft לגרסתן האחרונה.


חולשה קריטית בתוכנת Jabber מאפשרת הרצת קוד מרחוק על מחשבי משתמשים אחרים ברשת

Jabber הינה תוכנה של חברת Cisco המאפשרת תקשורת ושיתוף מידע בין משתמשים. החולשה הקריטית (CVE-2020-3495), שקיבלה את דירוג החומרה CVSS 9.9, התגלתה על ידי אולף סורטלנד תורסן מחברת Watchcom, והיא רלוונטית לכל גרסאות התוכנה המיועדת למערכת ההפעלה Windows, מלבד מספר גרסאות עדכניות מתוקנות. עם זאת, החולשה ניתנת לניצול רק במצב בו מתאפשר לתוקף לשלוח הודעות בפרוטוקול XMPP, על פי אופן הפעולה הבא: (א) התוקף מכין ב-Jabber הודעה לקורבן. (ב) התוקף מפעיל על מחשבו XMPP proxy, במטרה ליירט את ההודעה ולשנות את תוכנה. (ג) התוקף מוסיף לתוכן הפקטה את הקוד להרצה. (ד) ההודעה נשלחת והקוד מורץ על מחשב הקורבן, על בסיס ההרשאות המוגדרות בו.
אנו ממליצים לעדכן בהקדם את תוכנת Jabber לאחת מגרסאותיה המתוקנות (12.1.3, 12.5.2, 12.6.3, 12.7.2, 12.8.3 או 12.9.1).


עדכוני אבטחה ל-Google Chrome

העדכונים, שפורסמו ב-8 בספטמבר, רלוונטיים ל-Chrome for Desktop עבור מחשבי Windows ,Mac ו-Linux, והם נותנים מענה לחמש חולשות ברמת חומרה גבוהה, אשר עלולות להיות מנוצלות על ידי תוקף זדוני להשגת שליטה על מערכות הקורבן.
אנו ממליצים לעדכן את Google Chrome for Desktop לגרסה 85.0.4183.102.


WhatsApp חושפת שש חולשות 

לאחרונה הציגה החברה עמוד ייעודי לפרסום חולשות ופגיעויות אבטחה במוצריה, כחלק ממאמציה להתנהלות שקופה יותר מול משתמשיה. בפרסומה הראשון בעמוד חשפה WhatsApp שש חולשות שנסגרו לאחרונה בעדכון האפליקציה, ואשר ניצולן עלול להוביל להשתלת קוד זדוני במדבקות (Stickers) (CVE-2020-1890), להפעלת משתמשים לביצוע  CVE-2019-11928) Cross Site Scripting)  ועוד.


Adobe מפרסמת עדכוני אבטחה למוצריה

העדכונים רלוונטיים למוצרים InDesign, FrameMaker ו-Experience Manager במערכות ההפעלה O SX ו-Windows, והם מכסים 8 חולשות קריטיות העלולות להיות מנוצלות להרצת קוד מרחוק, ומספר חולשות נוספות ברמת חומרה גבוהות. מזהי החולשות שנפתרו הם CVE-2020-9727, CVE-2020-9728, CVE-2020-9729, CVE-2020-9730, CVE-2020-9731, CVE-2020-9725, CVE-2020-9726. 
אנו ממליצים על עדכון התוכנות הללו לגרסאותיהן האחרונות.


Intel מפרסמת תשעה עדכוני אבטחה בפלטפורמת הניהול מרחוק
החולשות שנפתרו הן בדרגות חומרה משתנות, החמורה שבהן דורגה כקריטית (CVE-2020-8758, CVSS 9.8). החולשות רלוונטיות לכל מוצרי Intel AMT ו-Intel ISM בגרסאות 11.8.79, 11.12.79, 11.22.79, 12.0.68, ו-14.0.39.אנו ממליצים להטמיע ברשתות הארגון את עדכוני האבטחה שפרסמה חברת Intel.

התקפות ואיומים

נחשפו דומיינים המתחזים ל-Facebook, Apple, Amazon ו-Netflix

דוח של חברת Palo Alto שפורסם ב-1 בספטמבר חושף עליה בפעולות Cybersquatting: התחזות לחברה או לארגון באמצעות שימוש בדומיין דומה, לצורך הטעיה. לדברי החברה זוהו 13,857 דומיינים מתחזים שנרשמו בדצמבר 2019, מתוכם 18.59% הפיצו פוגענים מסוגים שונים או ביצעו מתקפות דיוג, ו-36.57% מהם העמידו את גולשיהם בסכנה גבוהה למתקפה. כמו כן, הדוח מצא כי מטרתה העיקרית של פעילות זדונית זו היא פיננסית, וכי ניכרת בה העדפה לקורבנות מהסוגים הבאים: מנועי חיפוש מובילים, אתרי קניות, אתרים של בנקים ואתרים אחרים הקשורים לענף הפיננסים. הסיבה לכך הינה שבאתרים אלה זיהוי המשתמש דורש ממנו לספק פרטים אישיים רגישים, אשר יכולים לשמש לגניבת מידע פיננסי רגיש, למתקפות דיוג או להונאות פיננסיות. בין 20 הדומיינים המובילים במספר ההתחזויות אליהם במהלך דצמבר 2019 מצויים אלה של Microsoft, Paypal, Apple, Netflix, Amazon, Dropbox, Facebook, Google ועוד. את רשימת המזהים הרלוונטים ניתן למצוא בדוח.
אנו ממליצים על עדכון המזהים השונים במערכות הגנת הסייבר.

 

 

 

 

20 הדומיינים להם התחזו הכי הרבה בדצמבר 2019. מקור: Palo Alto​


צרפת, יפן וניו זילנד מתריעות מפני עליה חדה בתקיפות באמצעות הנוזקה Emotet

ההתרעה פורסמה על ידי ארגוני ה-CERT הלאומיים של המדינות צרפת, יפן, וניו זילנד, זאת בעקבות דיווח של חוקרים מקבוצת Cryptolaemus ל-ZDNet, על עליה חדה שזיהו בפעילות תשתית התקיפה של הנוזקה במהלך השבוע האחרון, בייחוד בשלוש המדינות הללו. על פי הדיווחים, ההדבקה הראשונית בנוזקה נעשית באמצעות אימיילים זדוניים המכילים קובץ נגוע, ולאחר מכן היא מופצת בארגון דרך שיחות אימייל השייכות לחשבון הנגוע. Emotet היא נוזקה מסוג סוס טרויאני, המשמשת לגניבת מזהים, נתוני אימות ומידע, וכפלטפורמה להתקנת נוזקות נוספות. היא זוהתה לראשונה ב-2014 ככזו שיעדיה העיקריים הם בנקים, אך כיום נראה כי היא תוקפת בעיקר סוכנויות ממשלתיות וחברות פרטיות בצרפת, ביפן ובניו זילנד, ובכלל זה בית המשפט הצרפתי. בדיווחי גופי ה-CERT מובאות המלצות לפעולות מנע, בהן מניעת השימוש בפקודות מאקרו בקבצי Office שאינם נושאים חתימה דיגיטלית, וידוא התקנת שירות EDR פעיל על כלל מכשירי הקצה בארגון, הגבלה על הרצת PowerShell, הטמעת עקרונות ״אפס אמון״ ומתן הרשאות מינימליות, לפי צורך בלבד.


דליפת מידע בשירות צ'אט וטלפון חושפת שיחות, הודעות ואנשי קשר של מיליוני אסירים

אפליקציית GetOut, שפותחה על ידי חברת Telmate מבית (Global Tel Link (GTL, משמשת מיליוני אסירים כמדיום תקשורת מרכזי לשיחות טלפון ולצ'אטים עם קרובי משפחה וחברים. מאגר המידע שנחשף מכיל מיליוני רשומות, בהן לוגים של שיחות טלפון, הודעות משתמשים, אנשי קשר ופרטים אישיים של אסירים, והוא זוהה על ידי החוקר בוב דיאצ׳נקו מחברת Comparitech. בתגובה מהירה בצורה יוצאת דופן, בתוך שעתיים בלבד מרגע הגילוי הצליחה Telmate לאבטח את המאגר החשוף. נכון לרגע זה, לא ידוע אם גורמים לא מאושרים, פרט לדיאצ׳נקו, נגשו למאגר המידע, ואין בנמצא הערכה של היקף הנזק שנגרם לפרטיות האסירים.


תקיפת סייבר של הפדרציה היהודית של וושינגטון הובילה לגניבת 7.5 מיליון דולר

בהצהרה שמסר מנכ״ל הפדרציה גיל פרויס לעובדי הארגון נאמר כי לצורך חדירה אל רשתות הפדרציה כוונה המתקפה הראשונית אל מחשבו הביתי של אחד העובדים, בו עשה שימוש לצרכי עבודה מרחוק. מטרת התקיפה היא גניבת כספי הקרן שגויסו מתרומות, ומחקירה נוספת עולה כי ככל הנראה התוקפים לא נגשו לקרנות נוספות ולמידע על תורמים.


לקוחות חנויות מקוונות שבבעלות Warner Music נפלו קורבן למתקפת Web skimming

השבוע חשפה חברת Warner Music את דבר אירוע האבטחה שאירע בכמה מחנויותיה המקוונות. במתקפת Web skimming, או Magecart, תוקף משתלט על אתר של חנות מקוונות ומחדיר לתוכו קוד, שמטרתו שמירת פרטי הזדהות ותשלום של לקוחותיו. טרם התברר כמה לקוחות נפגעו מחשיפת המידע וכמה חנויות נפלו קורבן להשתלטות, אך בינתיים נמסר כי לקוחות שביצעו רכישה באתרי החברה בין ה-25 באפריל ל-5 באוגוסט עשויים להימנות על קורבנותיה. פרטים שייתכן ונחשפו כוללים פרטי כרטיסי אשראי, כתובות, מספרי טלפון, כתובות אימייל ושם מלא, מידע אשר יכול לשמש תוקפים לביצוע רכישות. בעקבות האירועים פרסמה חברת Warner Music מכתב ללקוחות החברה, בו היא מציעה להם שירותי ניטור זהות של חברת Kroll למשך 12 חודשים בחינם, וממליצה לגלות ערנות לפעילות חשודה הקשורה לכרטיסי האשראי שלהם.

עליה במתקפות הכופר

ה-FBI פרסם אזהרה שנייה בנוגע לכופרת ProLock 

הכופרה, שבגרסתה הקודמת מ-2019 נקראה Pwndlock, מהווה איום על גופים כלכליים ובריאותיים, ואף ממשלתיים. אזהרתו הנוכחית של ה-FBI נוגעת לגרסה הפעילה ממרץ 2020, אשר בה תיקנו התוקפים באג שהתגלה בכופרת Pwndlock ואפשר שחזור קבצים ללא תשלום. בעבר כבר הזהיר ה-FBI מפני הכופרה, ופרסם כי מנגנון שחזור הקבצים שלה פגום באופן שלעתים לא אפשר לגופים אשר שילמו את דמי הכופר לאחזר את קבציהם. ProLock משתמשת בשני צירי כניסה מרכזיים לרשתות מחשוב: שרתי RDP לא מוגנים בעלי סיסמאות חלשות, ושימוש ב- QakBot כקרש קפיצה, אותו מפיצים התוקפים דרך קמפייני פישינג. ככל הנראה, הטכניקה המרכזית המאפיינת את פעולת הקבוצה העומדת מאחורי הכופרה היא שימוש בקבצי Microsoft זדוניים, אשר מפנים את המחשב להורדת ה- Payload משרת התקיפה. במקביל, התוקפים משתמשים בשיטות להשגת פרסיסטנטיות ולמניעת גילוי הכלי בו נעשה שימוש (QakBot). לאחר התקיפה, ProLock מצפין את תוכן המחשב באמצעות האלגוריתם RSA-2048 ושומר את מפתח ההצפנה למשך חודש, או עד לביצוע תשלום. עד כה נעו דרישות הכופר של התוקפים בסכומים שבין 150,000$ ל-700,000$, בהתאם לגודל הרשת שהוצפנה והגוף הנתקף. באזהרתו מפציר ה-FBI בקורבנות שלא לשלם את הכופר, מחשש שהדבר לא יביא להשבת הקצבים, ופן ישתמשו התוקפים בדמי כופר כדי לקדם את הקמפיין לעבר יעדים נוספים. עוד קרא ה-FBI לנתקפים לדווח על כל תקיפה שבוצעה נגדם, על מנת שיופק מכל קורבן מידע נוסף אודות מערך התקיפות.
אנו ממליצים לעבור על דוקומנטציית Microsoft לשם בדיקת הדרכים למניעת הדבקות בכופרות.


כנופיית הסייבר Revil משביתה את אחד משלושת הבנקים הגדולים בצ׳ילה באמצעות כופרה

הכלי שבו נעשה שימוש בתקיפה, Sodinokibi, זוהה על ידי צוות ATR של McAfee ומשוייך למערך התקיפה Revil. ב-6 בספטמבר, יומיים לאחר התקיפה, הודיע הבנק הלאומי של צ׳יליב-Twitter, כי בעקבות היקף התקיפה וחומרתה הוא נאלץ לעצור את שירותיו, פרט לשירותי ה-ATM, האתר והאפליקציה. טרם ידוע אם הבנק נכנע ללחץ התוקפים ושילם את דמי הכופר. לרוב, תקיפות הכופרה של כנופיית Revil מורכבות משני חלקים, על כל אחד מהם מופקד צוות אחר. הצוות הראשון מיועד להפצת הכופרה ועושה שימוש במספר שיטות איכותיות: (א) השיטה העיקרית - ניצול החולשה CVE-2019-2725 (דירוג חומרה 9.8 CVSS) בשרתי Oracle ו-WebLogic, המאפשרת הרצת קוד מרחוק. (ב) פישינג ממוקד (Spear Phishing) איכותי כנגד מטרות מאובטחות וגדולות. (ג) פישינג נרחב לתקיפת קורבנות. (ד) רכיבים של חיבורי RDP שאינם בשימוש. הצוות השני המשתתף בתקיפה הוא צוות פיתוח הכופרה, המתחזק את הקוד ומתאים אותו לצרכי צוות ההפצה. מחקירתה של McAfee עולה כי ככל הנראה מדובר בתקיפה מתקדמת, באמצעות קוד כתוב היטב הרץ במהירות.
אנו ממליצים לעבור על דוקומנטציית Microsoft לשם בדיקת הדרכים למניעת הדבקות בכופרות.


כופרת NetWalker תוקפת את ממשלת ארגנטינה ותחנת מפעל כוח פקיסטני

ממשלת ארגנטינה דיווחה על מתקפת כופר שכוונה כנגד משרד ההגירה הארגנטינאי, ואשר הביאה לעצירה זמנית של הפעילות במעברי הגבול במדינה. הכופר הנדרש עומד על 355 ביטקוין, סכום השווה ל-4 מיליון דולר. מקרה זה הוא אירוע מכונן בהיסטוריית אירועי הסייבר, שכן מדובר בפעם הראשונה בה תקיפה נגד רשות פדרלית מצליחה לשבש פעולות מדינתיות. בתוך כך, חוקר הכופרות המכונה Ransom Leaks מדווח כי K-Electric, ספקית הכוח הגדולה ביותר בפקיסטן, חווה גם היא משבר משמעותי שנגרם על ידי אותה כופרה. במקרה של החברה הפקיסטנית, NetWalker הביאה לשיבוש שירותי האינטרנט ומנגנונים פיננסיים. בתקיפה זו הכופר הנדרש עומד על 3.8 מיליון דולר.


מתקפות כופרה נגד בית ספר בקונטיקט וארגון ללא מטרות רווח

השבוע דווח כי בית הספר Hartford בקונטיקט לא יפתח את שעריו בתחילת שנת הלימודים, זאת בשל מתקפת כופר אשר השביתה מערכות קריטיות הנמצאות בשימוש בית הספר. עוד נמסר בדיווח כי המידע המצוי על המערכות המושבתות אינו ניתן לשחזור, אך בית הספר פועל לתיקונן מתוך סירוב לשלם את הכופר המבוקש. זאת ועוד, הארגון ללא מטרות רווח Atrium Health, המשרת כארבעים בתי חולים, מדווח על דלף אפשרי של מידע אישי של מטופלים, זאת בעקבות תקיפת כופר על מערכות Blackbaud, בהן הוא עושה שימוש. הנושא מצוי בשלבי חקירה אחרונים, ועם סיומה  ידווח על דליפת המידע לנפגעי התקיפה, אם יהיו כאלה.

סייבר בישראל

״גבולות נסגרים: גם למידע שלך״ - Webinar של Konfidas ו-ISACA

ב-9 בספטמבר התקיים Webinar ביוזמת Konfidas ובשיתוף ISACA בנושא האופן בו המגבלות החדשות על העברת מידע בין אירופה לארה״ב משפיעות על חברות בישראל (בעקבות פס״ד ״שרמס 2״). ה-Webinar כלל סקירה עכשווית של התפתחויות בתחום הגנת המידע ברמה הגלובלית, ופאנל מומחים בהנחיית רם לוי, מייסד ומנכ״ל Konfidas, בהשתתפותם של ד״ר אבישי קליין, DPO, אמדוקס; עו״ד נתנאלה טרייסטמן, שותפה, יגאל ארנון ושות׳; עו"ד רביד פטל, הממונה על פיקוח הרוחב, הרשות להגנת הפרטיות - משרד המשפטים; עו״ד דבורה האוסן-כוריאל, סמנכ״ל רגולציה ו-Konfidas, CLO; ויוני קפלנסקי, תכנון ותשתיות סייבר, Fico. להלן כמה תובנות מעניינות שעלו במהלך המפגש: 

  • החלטת בית הדין האירופי (CJEU) לבטל את הסדר ה-Privacy Shield חושפת את העברת המידע בין אירופה לארה"ב, כמו גם את זו שמתבצעת על ידי חברות ישראליות העוסקות במידע אישי של נשואי מידע תושבי ה-EU. 

  • לביטול הסדר ה-Privacy Shield יש השלכות גם על העברת מידע אישי לכל מדינה שלישית. 

  • מאחר וטרם התבררו ההשלכות המלאות של ביטול ה-Privacy Shield, מומלץ לחברות ישראליות שעובדות עם מידע אישי לבצע הערכה מחודשת של סוגי המידע האישי שהן מעבדות, ושל היעדים של העברות המידע האמור.

  • לחברות בינלאומיות עשוי להיות תפקיד רגולטורי חשוב, כמו זה שיש למדינות, ומתפקידן לוודא כי הספקים איתם הן עובדות פועלים בהתאם לנדרש מהם.

מסמך תובנות מלא יגובש בקרוב ויפורסם ב״הסייבר״. אתם מוזמנים לצפות בהקלטת ה-Webinar בלינק המצורף


ארבעה עצורים בחשד להפעלת תשתית פישינג המתחזה לשירות PayPal

החשודים נעצרו ב-7 בספטמבר על ידי יחידת הסייבר של להב 433, והם נחקרים באזהרה בחשד לביצוע הונאה בכרטיסי חיוב, קבלת דבר במרמה, זיוף ועבירות נוספות. על פי החשד, הארבעה הפעילו תשתית פישינג המתחזה לאתר PayPal, במטרה לגנוב פרטי אשראי. התשתית פעלה בצורה פשוטה, שהתבססה על משלוח הודעות SMS המכילות קישור לאתר מזויף המתחזה לזה של תאגיד המסחר העולמי. עוד חושדים החוקרים כי באמצעות פרטי האשראי שנגנבו פנו החשודים לבעלי חוב והעבירו תשלומים ללא כיסוי לגופים מוסדיים ופרטיים, בתמורה לקבלת מזומן בשווי חלק מהחוב.
על מנת להישמר מפני מתקפות פישינג, אנו ממליצים: (א) לשים לב לזהות השולח של כל הודעה. (ב) במקרה של הודעות או מסרונים המבקשים עדכון פרטים אישיים או פרטי תשלום, יש לבדוק את הדבר מול החברה השולחת. (ג) לשים לב לשורת הכתובת של האתר בדפדפן. לעיתים כתובות של אתרים מתחזים שונות רק בתו אחד מהכתובת המקורית. (ד) לבדוק האם האתר מאובטח. סממן עיקרי לכך הוא שימוש בפרוטוקול https, המופיע בתחילת הכתובת בדפדפן. (ה) חשוב לזכור שפרטי משתמש ופרטי תשלום נותרים קבועים, עד שהמשתמש מבקש לשנותם.


זוהה קמפיין תקיפה המפיץ אימייל זדוני תוך ניצול חברות ישראליות שהותקפו לצורך התפשטותו

בימים האחרונים הגיע לידי מערך הסייבר הלאומי מידע המצביע על קמפיין שבמסגרתו הופצו אימיילים זדוניים מתוך חברות ישראליות, אשר ככל הנראה הותקפו. האימיילים נשלחים לרשימות התפוצה של הקורבנות ולגורמים בשרשרת האספקה של הארגונים. טרם התבררה מטרת התוקף ובאילו כלים הוא עושה שימוש, אך ידוע כי לחיצה על הקישורים המופיעים באימייל או הורדת הקבצים המצורפים אליו מובילות להדבקה בנוזקה.
על מנת להתמגן מפני הקמפיין, אנו ממליצים על חסימת המזהים הזדוניים שפרסם מערך הסייבר ועל ניטור תחנות העבודה ברשת. במידה וזוהתה תקשורת מאחת התחנות לכתובות הזדוניות, יש לאתר את התחנה ולנסות לזהות את הקבצים הזדוניים. מערך הסייבר מבקש מחברות ומארגונים שנתקלו באימיילים חשודים לפנות אליו לצורך סיוע בחקירה.

סייבר בעולם

פלטפורמה חדשה בפיתוח MIT תבחן את מצב האבטחה של ארגונים
המערכת החדשה, שפותחה על ידי פרופסור לאו דה קסטרו והקריפטוגרף וינוד ואיקונטנאטאן, תסייע לארגונים למדוד את מצב אבטחת המידע שלהם, להשוות אותו לזה של ארגונים דומים ולהעריך את התאמתו של התקציב המושקע ביישום אבטחת המידע לצרכי ההגנה של הארגון.


צפי להתגברות איום הסייבר הרוסי על בחירות 2020 בארה"ב 

בדוח מנסה Insikt Group, צוות האיומים של Recorded Future, לצפות את ההתערבות הרוסית בבחירות 2020, בהתבסס על אירועי בחירות 2016 (לנשיאות) ו-2018 (לסנאט). ב-2016 עיקר ההתערבות הייתה בדמותם של ניסיונות תקיפה שבצעו הקבוצות APT28, APT29 ויחידה 74455 של המנהל הראשי של המטה הכללי הרוסי (GRU), כנגד ה-DNC (הוועדה הדמוקרטית הלאומית) וה-DCCC (ועדת המועמדים לקונגרס של המפלגה הדמוקרטית). ב-2018 הופנו מרבית המאמצים ל-DNC, להפצת מיס-אינפורמציה ברשתות החברתיות ולקידום כאוס בתהליך הבחירות. בשתי מערכות הבחירות לא זוהו חדירות ממשיות של מערכי התקיפה לגופים שהיו על הכוונת. דוח של ה-IBM X-Force Exchange מסכם את המזהים שסומנו כבעייתים לקראת הבחירות.


"We are Outnumbered": מחסור במומחי הסייבר בארה"ב בתקופת הקורונה

ב-6 בספטמבר פרסמה רשת CNBC האמריקאית כי תחום אבטחת הסייבר בארה"ב לוקה במחסור חמור בעובדים, נוכח העלייה המשמעותית במספר אירועי הסייבר בתקופת הקורונה. מחסור זה החל, עוד לפני התפרצות הנגיף, אך החמיר עם הצטמצמותן של חברות עקב המשבר הכלכלי, שהביאה לסיפוח עובדי אבטחת מידע רבים למערכי IT או לפיטורם. ב-2019 דיווח ה-ICS2, ארגון מומחי אבטחת המידע הגדול בעולם, כי מניין העובדים בתחום אבטחת  הסייבר ברחבי העולם עומד על כ-2.8 מיליון, וכי דרושים כ-4 מיליון עובדים נוספים לשם התמודדות אפקטיבית עם כלל האיומים.

סייבר ופרטיות - רגולציה ותקינה

בעקבות פס״ד ״שרמס 2״: הרגולטור האירופי מנסה ״לעשות סדר״ ולסייע לארגונים לפעול בהתאם לפסיקה

ב-4 לספטמבר הודיע רגולטור הגנת פרטיות המידע האישי באיגוד האירופי (European Data Protection Board), על הקמת שני צוותי עבודה שיבהירו את השלכות פס״ד ״שרמס 2״ ויסייעו לארגונים בציות למציאות הרגולטורית החדשה שנוצרה בעקבותיו. הצוות הראשון יעסוק במתן הנחיות לארגונים, בעוד שהשני יגבש מענה מטעם הרגולטורים הלאומיים של האיחוד האירופי לתלונות המוגשות בעקבות פסק הדין. יותר ממאה מהתלונות שהוגשו עד כה מגיעות מהארגון NOYB (ראשי תיבות של None of Your Business), המנוהל על ידי מקס שרמס. במישור הלאומי, רשות הגנת הפרטיות בגרמניה כבר פרסמה הנחיות לארגונים בעקבות פסק הדין. 


מיזם סיני חדש מתעתד לקבוע כללים גלובליים חדשים לאבטחת מידע

במענה לניסיונותיה של ארה״ב למדר אותה, בכנס שנערך השבוע בבייג'ינג הכריזה ממשלת סין על יוזמה חדשה לקביעת סטנדרטים גלובליים מעודכנים בתחום אבטחת המידע. סטנדרטים אלה יאפשרו לסין להוביל תהליכים עסקיים בנפרד מהמערכת הגלובלית הקיימת כיום, בה ארה"ב מטילה סנקציות החוסמות את פעילותן של חברות סיניות, בהן TikTok ו-Hauwei (ראו "הסייבר", 23-27.8). שר החוץ הסיני, Wang Yi, פירט אודות היוזמה הסינית החדשה וציין כי חיוני לנקוט בגישה רב-צדדית במישור הבינלאומי לקידום קביעת כללים מוסכמים לפעילות במרחב הסייבר.     


בהמשך לפס״ד ״שרמס 2״: גם שווייץ מבטלת את הסדר ה-Privacy Shield

בעקבות החלטת בית הדין האירופי (CJEU) (ראו לעיל "גבולות נסגרים" ו"הסייבר", 12-16.7), השבוע החליטה רשות הגנת המידע בשווייץ על ביטול תוקפו של הסדר ה-Privacy Shield שהתקיים בינה לבין ארה"ב. ב-8 בספטמבר קבע הנציב הפדרלי השוויצרי להגנת המידע (FDPIC) שה-Privacy Shield אינו מעניק הגנה מספקת לזכויותיהם של נשואי מידע שוויצריים בהתאם ל-Federal Act on Data Protection משנת 1992. נימוקי הביטול שנוסחו על ידי הנציב דומים לאלה המופיעים בפס״ד ״שרמס 2״.


דוח חדש של מרכז ״בלפר״: ישראל במקום ה-11 בעולם ב-National Cyber Power Index 2020

מרכז הסייבר ״בלפר״ בבית הספר לממשל של אוניברסיטת הארוורד פרסם השבוע אינדקס חדש, המודד את רמת הגנת הסייבר של 30 מדינות בהתאם ליותר מ-50 קריטריונים. האינדקס מתבסס על הנחת היסוד לפיה רמת הגנת הסייבר של מדינות נשענת על שילוב בין יכולות להיערכות. בסדר יורד, המדינות בעלות "כוח הסייבר" הגבוה ביותר הן ארה"ב, סין, בריטניה, רוסיה, הולנד, צרפת, גרמניה, קנדה, יפן ואוסטרליה. ישראל מדורגת ה-11. 

 


מסמך חדש של ה-NIST בנושא ניהול מכשירי IoT פורסם להערות הציבור

נייר העבודה שפורסם השבוע על ידי המכון הלאומי לתקנים וטכנולוגיה של ארה״ב עוסק בחיבור מכשירי IoT לרשתות ובניהול החיבור באופן המאפשר לנהל את סיכוני השימוש במכשירים הללו. המסמך, המכונה Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management, דן בסוגיית החשיפות האפשריות לרשתות של ארגונים, וכחלק מניסיונו של ה-NIST לגבש תפיסה להתמודדות עם חשיפות אלה - הוא קורא לציבור להגיש הערות למסמך. תאריך ההגשה האחרון הוא ה-8 באוקטובר 2020. 

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, אלי שמי, רוני עזורי, עמית מוזס, רז ראש, רם דודש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי וגיא פינקלשטיין.